Tratar con administradores no confiables en un dominio de Windows

Navega tus respuestas
2

Estoy proporcionando consultas a una empresa, donde tienen estaciones de trabajo Windows unidas a un dominio. Un requisito básico es que no quieren que nadie (incluido el administrador) pueda iniciar sesión como otra persona.

Un administrador de dominio es poderoso, y puede cometer una variedad de delitos, como cambiar la contraseña de alguien y tergiversarse como él / ella. También puede borrar los registros, sin dejar rastro de sus acciones.

Entonces, mi pregunta es:

  1. ¿Es posible forzar acciones como "restablecer contraseña" para requerir la aprobación de más de un solo administrador?
  2. ¿Es posible auditar las acciones de manera que el administrador del dominio no pueda manipularlas?
  3. ¿Sugiere algún otro enfoque para lidiar con entornos con administradores no confiables?
pregunta M.S. Dousti 22.11.2012 - 20:44
fuente

3 respuestas

7

La respuesta es simple: no permitir administradores de dominio . Dar acceso a funciones específicas a personas específicas que están en el trabajo de administración. El grupo "Administrador de dominio" debe estar vacío con alertas cuando se agrega un usuario a este grupo.

En equipos pequeños, esto puede ser un poco complicado, pero puede incluir personas fuera del personal de administración de TI para la supervisión, y puede crear un esquema para asegurarse de que el personal solo obtenga una parte de los privilegios necesarios para evitar la manipulación.

  1. Proporcione administración de contraseñas a un usuario que solo puede iniciar sesión en una sola máquina y auditar si otros usuarios inician sesión en esa máquina.
  2. Permitir el acceso de registro de una persona a alguien que no puede cambiar las cuentas de usuario
  3. Este es el principio de "privilegio mínimo" en el trabajo, que es cómo tratas cualquier nivel de 'desconfianza'
respondido por el schroeder 22.11.2012 - 20:58
fuente
4
  

1- ¿Es posible forzar acciones como "restablecer contraseña" para requerir la aprobación de más de un solo administrador?

Es una buena idea separar la creación de usuarios del restablecimiento de la contraseña, puede asignar la creación de un usuario a un administrador y dejar el restablecimiento de la contraseña en la Mesa de Ayuda, por ejemplo.

En Active Directory no necesita administrador de dominio para crear usuarios, puede crear un grupo de usuarios con acceso a una cuenta específica, eso es bueno sobre AD, los permisos son muy granulares.

  

2- ¿Es posible auditar las acciones de manera que el administrador del dominio no pueda manipularlas?

Sí, si no tiene una solución de registro (ya que le recomiendo que tenga un servidor de registro), puede configurar un servidor de archivos con permisos de creación únicamente para el administrador y configurar su servidor para que coloque los archivos de registro allí. opción. También use la configuración de GPO para controlar la auditoría de la máquina de Windows.

  

3- ¿Sugiere algún otro enfoque para lidiar con entornos con administradores no confiables?

  • Utilice la autenticación de dos factores.
  • Use el software de grabación de sesión y el keylogger.
  • Registre todo en un servidor separado, cifrado y a prueba de manipulaciones.
respondido por el Maximo Patino 22.11.2012 - 22:07
fuente
0

Camarada Sadaeq,

Uno de los principios fundamentales de la seguridad es que no puede proteger un sistema del administrador del mismo. Esto se debe a que el administrador tiene los medios para modificar / controlar el sistema, por lo que siempre puede encontrar la manera de acceder a lo que quiera.

Le aconsejo que aconseje a su cliente que reduzca el número de administradores de su dominio a un número realmente pequeño de personas en las que pueda confiar. Según lo sugerido por el camarada Schroeder, siempre es mejor delegar otras partes de la administración del sistema a otros administradores delegados basados en un buen modelo de delegación.

Sin embargo, una cosa que se debe tener en cuenta sobre la delegación en Active Directory es asegurarse de que las cuentas de administrador de dominio no estén en la misma unidad organizativa que otras cuentas, porque de ser así, y usted delegó la administración de esa unidad organizativa a un administrador delegado, ese administrador delegado podría usar la herencia de permisos para otorgarse suficientes permisos en la cuenta de administrador de dominio para restablecer la contraseña del administrador de dominio e iniciar sesión como administrador de dominio. (Este concepto no es nuevo y se conoce como "Escalado de privilegios de Active Directory")

Entonces, camarada, mi sugerencia es reducir el número de administradores de dominio delegando todas las demás tareas (por ejemplo, creación de cuentas, gestión de unidades organizativas, administración de membresía de grupo) a otros administradores delegados, y solo haga que esas personas sean administradores en quienes pueda confiar completamente. (Como lo sugieren otros compañeros, ni el registro ni la auditoría protegen un sistema de un administrador de dominio porque un administrador de dominio puede desactivar ambos).

Buena suerte para ti.

    
respondido por el Nik 17.01.2013 - 03:32
fuente

Lea otras preguntas en las etiquetas

¿Cuál es la mejor manera de obtener una auditoría de terceros sobre la seguridad del sitio web? 7zip Archivo cifrado AES, relleno de ataque oracle